Uma empresa migra a operação inteira para um sistema acessado pela internet. Faturamento, estoque, folha, relacionamento com clientes, tudo passa a depender de um software que ela não instala, não hospeda e não controla. Funciona bem por anos, até o dia em que o fornecedor reajusta o preço acima do previsto, altera a política de uso, sofre uma indisponibilidade prolongada ou simplesmente encerra o serviço.
A dúvida que fica é quais são as regras que determinam esse tipo de contrato?
Os contratos de SaaS, sigla para software as a service, organizam exatamente essa relação de dependência. Não se trata de comprar um programa, mas de contratar acesso contínuo a um sistema hospedado por terceiro. A diferença parece sutil, mas redefine o objeto, o risco e a forma de extinção do vínculo. É justamente onde a maioria das minutas falha.
Para quem assessora empresas ou a administração pública, dominar a arquitetura dessas relações deixou de ser diferencial e virou requisito. O software como serviço sustenta hoje desde a gestão de uma indústria até a operação de um órgão público.
SaaS não é licença de software, e isso muda o contrato
Por muito tempo o direito tratou programa de computador como bem a ser licenciado, num modelo próximo do que ainda regula a Lei do Software (Lei 9.609/1998). A lógica era a cessão de uma cópia, com pagamento único ou periódico pelo direito de uso.
O SaaS rompe esse desenho, porque ele não há entrega de cópia, há prestação continuada de um serviço acessado remotamente.
Ao julgar as ADI 5659/MG e 1945/MT, em 24 de fevereiro de 2021, o Supremo Tribunal Federal assentou que o licenciamento e a cessão de uso de software configuram obrigação de fazer, sujeita ao ISS e não ao ICMS. Se o licenciamento já é serviço, o SaaS, que é serviço por definição, está ainda mais distante da figura da compra.
Incluir vídeo: https://youtu.be/Hr2svH43woY?si=gS_GTO8P_Jp9074w
A consequência prática aparece na cláusula de objeto. Descrever um contrato de software como serviço como simples licença é abrir flanco em três frentes: tratamento tributário, regime de reajuste e forma de rescisão.
Serviço continuado segue lógica própria de extinção, com aviso prévio e transição, e não o término seco de uma licença vencida. Quem redige a minuta precisa nomear corretamente aquilo que está contratando.
Dados pessoais: controlador, operador e o acordo que falta na maioria dos contratos
Todo SaaS processa dados, e boa parte deles é dado pessoal. A Lei Geral de Proteção de Dados (Lei 13.709/2018) impõe a primeira distinção que o contrato precisa refletir: no arranjo típico, o contratante é o controlador, que decide a finalidade do tratamento, e o fornecedor é o operador, que trata os dados em nome dele.
Essa qualificação carrega obrigações concretas, considerando que o operador deve seguir as instruções do controlador, adotar medidas de segurança adequadas (art. 46) e comunicar incidentes (art. 48). O instrumento que materializa tudo isso é o acordo de tratamento de dados, e é exatamente ele que falta na maioria das contratações de SaaS feitas no improviso.
Um acordo bem construído enfrenta os pontos que o contrato principal costuma ignorar, a exemplo da finalidade e limites do tratamento, autorização e responsabilidade por suboperadores, transferência internacional de dados quando os servidores estão no exterior e a eliminação dos dados ao fim da relação.
É verdade que a omissão tem preço, isso porque o controlador responde perante o titular ainda quando a falha técnica é do operador, e o regresso contra o fornecedor depende do que ficou escrito. Quem trata proteção de dados nos contratos B2B de tecnologia como anexo decorativo descobre tarde que era cláusula de alocação de risco.
Reversibilidade, portabilidade e a saída que ninguém negocia na entrada
A pergunta mais negligenciada na contratação de SaaS é como sair dele.
A dependência tecnológica, o chamado lock-in, nasce justamente da ausência de uma cláusula de reversibilidade. Sem ela, o contratante que decide trocar de fornecedor descobre que os seus próprios dados estão presos em formato inutilizável.
A regra de propriedade ajuda a organizar o problema. O software permanece do fornecedor, mas os dados inseridos pelo cliente são do cliente. A minuta precisa transformar essa premissa em obrigação: devolução dos dados em formato estruturado e legível, prazo e suporte para a migração, e eliminação segura após a entrega.
Vale também definir a titularidade de eventuais customizações desenvolvidas durante o contrato. A lição é simples de enunciar e difícil de praticar. A saída se negocia na entrada, quando o contratante ainda tem poder. Depois da assinatura, a reversibilidade vira favor, não direito.
Quando o contratante é o poder público: a Portaria SGD/MGI 5.950/2023
A contratação de SaaS pela administração pública soma à camada contratual uma camada de direito público. Sob a Lei 14.133/2021, o software como serviço é tratado como serviço continuado, com exigências próprias de planejamento, fiscalização e prestação de contas.
O regramento ganhou desenho específico. A Portaria SGD/MGI nº 5.950/2023, que estabelece o modelo de contratação de software e de serviços de computação em nuvem para os órgãos do SISP, abrange expressamente o SaaS e, desde 30 de abril de 2024, é de observância obrigatória, salvo justificativa técnica aprovada pela Secretaria de Governo Digital. O eixo da norma é a governança dos dados: segurança, privacidade, soberania e requisitos de hospedagem e de centro de dados.
Para o advogado, isso tem leitura dupla. O que atua no setor público precisa ajustar o termo de referência e o contrato ao modelo da SGD e à Lei 14.133, sob risco de glosa do Tribunal de Contas. O que assessora a empresa fornecedora precisa entender que vender SaaS para o Estado não é vender SaaS para uma empresa privada, porque as cláusulas de dados, de soberania e de auditoria deixam de ser negociáveis e passam a ser condição de validade do ajuste.
A pós-graduação em Governo Digital, Inteligência Artificial e Inovação no Setor Público do IDP
Os contratos de SaaS exigem manejo simultâneo de direito contratual, proteção de dados, regulação de tecnologia e contratação pública, áreas que raramente são estudadas juntas e que, na prática, chegam ao escritório no mesmo caso.
A Pós-Graduação em Governo Digital, Inteligência Artificial e Inovação no Setor Público do IDP foi estruturada para esse cenário. O programa percorre os fundamentos de direito, dados e regulação na sociedade digital, com LGPD, RGPD e Marco Civil, avança para as novas fronteiras jurídicas da inovação, como propriedade intelectual digital, tributação de tecnologias e concorrência entre plataformas, e enfrenta a contratação pública de tecnologia à luz da Lei 14.133/2021.
O corpo docente reúne quem decide e executa essa agenda. Entre os professores estão Luis Felipe Monteiro, ex-secretário nacional de Governo Digital e CEO da fintech Caetano, indicado pelo Fórum Econômico Mundial entre as pessoas mais influentes do mundo em governo digital em 2020; Thaciana Cerqueira, coordenadora-geral de fomento à inteligência artificial responsável na Secretaria de Governo Digital; e Wesley Vaz, Secretário de Controle Externo de Governança, Inovação e Transformação Digital do TCU.
As aulas são 100% online e ao vivo, com periodicidade quinzenal. Para quem assessora empresas de tecnologia ou a administração pública, a vantagem competitiva está em chegar ao caso já dominando a interseção que sustenta os contratos de SaaS e que o mercado ainda trata de forma fragmentada.
A contratação de tecnologia pelo setor público está sendo redesenhada agora. Quem se posicionar nesse campo enquanto ele se forma terá vantagem sobre quem só o procurar depois que a demanda chegar.
